2010年01月21日(木)<< 前の日記 | 次の日記 >>
この日の詳細

■1長崎移動 このエントリーをはてなブックマークに追加

本日はTweetをメインにお送りしております。

■ 関連記事

詳細はこの日の詳細から

2008年01月21日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1機種変[mixi] このエントリーをはてなブックマークに追加

携帯を機種変更しました。また、カシオに戻ってW53CA。
久しぶりに最新機種にしたので操作に戸惑うことばかり。これまで、winですらなかったからね。
デジカメの画質はずいぶん良くなったみたいだし、パケット代もダブル定額ライトに入ったし、写日記復活なるか。

■ 関連記事

詳細はこの日の詳細から

2005年01月21日(金)<< 前の日記 | 次の日記 >>
この日の詳細

■1 続・サイト証明書を使って運用しているWebサイトの責任[http://www.nantoka.com/~kei/diary/?200501b&to=200501203#T200501203][セキュリティ]次の記事 >> このエントリーをはてなブックマークに追加

コンテンツの中身の正誤は別レイヤ[http://www.nantoka.com/~kei/diary/board.cgi?act=read&msgid=144] だというご意見を頂いた。
技術的にはもちろんその通りだし、そういう様に思ってきたのだけれども、例えば、一部のページをサイト運営者以外が自由に更新できる様なことをするのならば、そのページの内容についてはサイト運営者が関知しないという事を明示しないとまずい気がする。

あるいは、サーバ証明書がサーバ証明以上の意味を勝手に持って、そのサイトが信用できるという意味に使われている現状がおかしいのか。

■ 関連記事

■2 フィッシング詐欺 官民で撃退 総務省など指針策定へ[http://www.asahi.com/national/update/0119/005.html][セキュリティ]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

ソースは、 「フィッシング対策推進連絡会」の開催[http://www.soumu.go.jp/s-news/2005/050119_4.html] の様だ。

送信されたメールが実在の銀行やカード会社によるものかをサーバーで見分け、実在しなければ利用者に届かないようにする認証技術の導入を目指している。

は、あさっての方向に向いているのではないか。
一方で、 PKIをズタボロ[http://takagi-hiromitsu.jp/diary/20050120.html#p01] にして、次世代のフィッシング詐欺がおきる土壌を作っている現状を何とかすべきではないか。

■ 関連記事

■3「信用」の意味[セキュリティ]<< 前の記事 このエントリーをはてなブックマークに追加

日本のPKIを殺した真犯人は誰か[http://takagi-hiromitsu.jp/diary/20050120.html#p01] の議論で考えたのだけれども、サーバ証明書の信用の意味が多くの人に誤解されていると思う。証明書発行会社が意図的に誤解させたのか、証明書の発行を受けた会社が誤解しているのか誤解させているのか。
アリスがウェブでお買いものをする時に必要な信用は

  1. 買おうとしている商品が信用できるものであるか
  2. ボブ商店は信用できるか
  3. そのサイトが本当にボブ商店であると信用できるか
  4. そのサイトは信用できる運用をされているか
  5. 通信路は盗聴されないと信用できるか

であって、サイト証明書が証明してくれるのは、信用のごく一部でしかない。
にも関わらず、ある認証局からサイト証明書を発行されていることをもって、上記の全てが信用できるかの様に説明しているサイトがある。
例えば、

本サービスは、信頼性の高い「通信の暗号化を実現するサーバ証明書」を発行するベリサインより認証を受けております。
これは「情報の保護」を行い、安心で安全なeビジネスを展開している会社としての証明です。
当社ウェブサイトでは、日本ベリサイン株式会社の定める高度な認証基準に基づき発行されるウェブサーバー用デジタル証明書を取得し、安全なウェブサイトを運営しております。
○○は「日本ベリサイン株式会社」より認証を受けています。
ベリサイン社は、国内・海外ともに導入実績を誇る世界最先端のインターネット認証機関であり、 セキュリティ対策には万全を期しています。
○○のウェブサイトは、第三認証機関である日本ベリサイン社より認証を受けたウェブサイトです。詳しくは、こちらをご覧ください。

の様な文言で、あたかもサイト証明書の発行を受けている事が、すなわちサービス全体が信用できるものである様な説明をしている。
分かっていてやっているのであれば詐欺的な表示であり、万が一、そう信じて書いているのであれば、サイト運営者がサーバ証明書の意味を理解していないということである。だとすると、これらのサービスのセキュリティには大きな疑問がある。

■ 関連記事

詳細はこの日の詳細から

2002年01月21日(月)<< 前の日記 | 次の日記 >>
この日の詳細

■1DupliDiskIIのファン次の記事 >> このエントリーをはてなブックマークに追加

壊れたので代わりを探しておかないと。40mm角。

■ 関連記事

■2 クロスサイトスクリプティング脆弱性[http://www.ipa.go.jp/security/ciadr/20011023css.html][セキュリティ][おしごと]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

クッキーに頼るのは危険だということは分かっているのだけれども、 独自の(漢字をログイン名に使いたいとか、ブラウザに覚えられるのが困るとか)認証をやっていて、 HTTPのユーザー認証が使えない状況では、クッキーで認証情報を持ちまわりたいことがある。
パスワードを生で渡すのはとても危険なので、 リモートIPとパスワードを混ぜて(畳み込んで)、cryptして渡すとちょっと安心 *1 。 認証に有効期限がある場合は、ランダムな文字列をセション鍵として生成して、 これも加えてcryptして、有効期限が切れた時にはセション鍵ごと削除すると良い。
別の方法でセション管理が出来るのだったら、ページ生成毎にセション鍵をやり取りすると良いが、 ページをリロードされた時の扱いが面倒。
*1: パスワードのみcryptしても、そのクッキーを再現されるとアウト。 リモートIPを加えれば、そのIPアドレスを使える範囲からに限定できる。

■ 関連記事

■3 ipfw+natを一つのインターフェイスで[http://odin.prohosting.com/valcyrie/cgi-bin/diary/?200201c&to=200201212#200201212][freebsd]<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

できないことはなさそうだけど、あんまりうれしくなさそう。

ほんとうに:

できるかどうか試したわけではないので。念のため。

■ 関連記事

■4欲しいもの<< 前の記事 | 次の記事 >> このエントリーをはてなブックマークに追加

久しぶりに欲しいものがでてきた。物欲亢進期ですかね。
  • RTA300i
  • ノートパソコン
  • ラックマウントサーバー
  • ラック
ノートパソコンはアレとして、全てのネットワーク機器とサーバをラックマウントしたいなみたいな。

■ 関連記事

■5 MIFES for Windows Ver.6.0[http://www.megasoft.co.jp/publish/mifes6/index.html]<< 前の記事 このエントリーをはてなブックマークに追加

もうほとんど *2 使っていないのだけど、バージョンアップすべきかなぁ。
98時代からMIFES使いだったので、すごく愛着はあるのですが。
*2: ということは、時々は使っているのだ。

■ 関連記事

詳細はこの日の詳細から

以上、8 日分です。

指定日の日記を表示

前月 2019年10月 翌月
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31

最近の日記

2019年04月01日

新元号「令和」について

2019年03月23日

DXアンテナ ワイヤレスチューナー メディアコンセント DMC10F1

2019年02月17日

#例のグラボを活用する

2019年01月03日

シリーズ5・myHomeAlexaで自分のCDをかける

2018年12月25日

シリーズ4・英語の楽曲・アルバム・アーティスト名をカタカナに直す

2018年12月23日

シリーズ3: Echo Dotがやってきた

2018年12月19日

続・Echo Dotがやってきた

分野別タイトル一覧


全て
CLIP
SYA!nikki
book
freebsd
hns
magic
おさけ
おしごと
お買いもの
ぐる
ごはん
アクセシビリティ
オープンソース
セキュリティ
音楽
地域情報化
電子自治体
日記

予定

    ToDo

      link

      keikuma on Twitter

      keikuma Name:前田勝之
      Location:長崎市
      Web:http://www.nantok...
      Bio:前田勝之(まえだかつゆき)。長崎在住。コンサル、SE、プログラマー、 なんとか株式会社代表、非常勤講師(情報セキュリティ)。 セキュアド、テクニカルエンジニア(SV,NW)。サーバ管理とWeb日記を10年ほど。 ネットとリアルの接点に関心あり。食べること・歌うこと・愛すること・作ること・飲むこと。おいしいものがぜんぶすき。

      サイト内検索

      Google AdSense

      Powered by hns-2.19.9, HyperNikkiSystem Project